MacOS uzun zamandır sağlam, entegre güvenlik yığını ile tanınıyor, ancak siber suçlular bu savunmaları silahlandırmanın yollarını buluyor.
Son olaylar saldırganların, kötü niyetli yükler gizlice sunmak için anahtarlık, SIP, TCC, Gatekeeper, dosya karantinası, XProtect ve Xprotect Remateatörünü kullanıyor.
Key Takeaways
1. Abuse of macOS tools (Keychain, SIP, File Quarantine) for credential theft and evasion.
2. Defense-evasion via disabling Gatekeeper, clickjacking TCC, and unloading XProtect.
3. ESF logging with Sigma rules plus third-party EDR ensures detection.
Yerleşik macOS korumasını kullanma
Kaspersky, saldırganların künt kuvvet istismarlarından meşru araçların ve özelliklerin nüanslı kötüye kullanılmasına geçtiğini bildirdi. Ortak bir vektör anahtar zincirini içerir: rakipler veya Native/USR/BIN/Güvenlik Listesi Kişiler ve Güvenlik Dump-Keze komutları gibi yardımcı programları kullanır.
Bu tür yetkisiz kullanımı tespit etmek için kuruluşlar, cmdline’ın güvenliği -List-Keze veya -Dump-Kechain ile eşleştirdiği ESF ve Flag Invocations aracılığıyla süreç oluşturma olaylarını günlüğe kaydetmelidir.
Temsilci bir Sigma kuralı saldırı altındaki bu kalıpları tetikler.
Sistem bütünlüğü koruması (SIP) başka bir odak noktasıdır. Saldırganlar yürütmek için kurtarma moduna çizer, ancak genellikle CSRUTIL durumunu kullanarak SIP durumunu araştırırlar.
Kurtarma modu yürütmeleri standart günlüklerden kaçındığından, savunucular sürekli SIP durum izlemesi uygulamalı ve durum değişiklikleri hakkında uyarılar oluşturmalıdır. Saldırı altında Sigma Kuralı T1518.001 ile uyumlu bir yaklaşım.
Silahlı dosya karantinası, bekçi ve tcc
Com.apple.quarantine özniteliği ile indirilen yürütülebilir dosyaları etiketleyen dosya karantinası, kıvrım veya wget gibi düşük seviyeli araçlarla veya çağırarak atlanabilir
-D com.apple.quarantine ile XATTR yürütmelerinin izlenmesi, karantina çıkarma girişimlerinin tespit edilmesini sağlar (Sigma T1553.001 atak altında.
Gatekeeper, kod imzalamaya ve SPCTL yardımcı programına güvenir. Kaspersky, saldırganların imza çeklerini atlamak için bir uygulamayı sağ tıklamaya yönlendirebileceğini veya kullanıcıları devre dışı bırakabilir.
SPCTL üzerinde –Master-disibable veya Global tarafından verilebilir parametrelerle uyarmak bu savunma-evlenme taktiklerini ortaya çıkarır (Sigma T1562.001).
Şeffaflık, Onay ve Kontrol (TCC), SQLITE tabanlı TCC.db aracılığıyla kameraya, mikrofona ve tam disk erişimine erişimi yönetir.
Modifikasyon, SIP’yi devre dışı bırakmayı veya bir sistem işlemini ele geçirmeyi gerektirse de, rakipler kullanıcıları yüksek izinler vermek için kandırmak için tıklama kaplamaları kullanır. TCC.db değişikliklerinin ve kullanıcı istemlerinin sürekli denetimi erken uyarı için çok önemlidir.
Son olarak, XProtect ve XProtect Remateatör imza tabanlı kötü amaçlı yazılım engelleme ve otomatik iyileştirme sunar.
Sofistike saldırganlar, imzasız çekirdek uzantıları (Kexts) enjekte ederek veya AppleCtl’i Apple’ın Daemons’ı boşaltmak için kötüye kullanarak bu hizmetleri devre dışı bırakmaya veya atlamaya çalışır. Savunucular LaunchCTL boşaltma ve imzasız-kext yük denemelerini izlemelidir.
MacOS’un entegre güvenlik katmanları zorlu olmasına rağmen, saldırganlar sürekli olarak meşru mekanizmalardan yararlanmak için gelişmektedir.
Ayrıntılı ESF tabanlı günlüğe kaydetme, kritik komut modelleri için Sigma kurallarının dağıtılması ve üçüncü taraf EDR çözümleriyle yerel savunmaları artırma bu gelişmiş tehditleri etkili bir şekilde tespit edebilir ve engelleyebilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.